26Jul 13 los proveedores de seguridad: no hacer daño, Heal empresas Ti Seguridad haría bien para construir sus productos en todo el código del médico: ". En primer lugar, no hacer daño" El corolario de ese juramento prestado de otro mantra médica: "El proveedor de seguridad, cúrate a ti mismo . Y no tener siempre a que lo haga! "El jueves, Symantec tranquilamente en libertad para fijar vulnerabilidades graves en su Web Gateway Symantec, una popular línea de dispositivos de seguridad diseñados para ayudar a" proteger a las organizaciones contra múltiples tipos de malware Web-borne. "Symantec publicó las actualizaciones más de cinco meses después de haber recibido la notificación de los defectos de Viena, Austria basa SEC Consult Vulnerability Lab, que dicho atacantes podrían encadenar varios de los defectos comprometer totalmente los electrodomésticos. "Un atacante puede obtener acceso no autorizado a las puertas traseras del aparato y de la planta o archivos de configuración de acceso que contiene las credenciales para otros sistemas (por ejemplo, Active Directory. / Credenciales LDAP) que pueden ser utilizados en futuros ataques", SEC Consultadvertido en publicada en coordinación con los parches de Symantec. "Dado que todo el tráfico de Internet pasa a través del aparato, la intercepción de HTTP, así como la forma de texto sin formato del tráfico HTTPS (si la función profunda inspección SSL en uso), incluyendo información sensible como contraseñas y las cookies de sesión es posible." Big Yellow casi seguro que esquivó una bala con esta divulgación coordinada, y debería estar contento de que los insectos no se encuentran, por ejemplo; A principios de este mes, la empresa de seguridad McAfee múltiples vulnerabilidades en su ePolicy Orchestrator, un producto de gestión de seguridad centralizada. El investigador en ese caso dijo que iba a revelar sus hallazgos dentro de los 30 días de la notificación a la empresa, y McAfee se volvió un aviso en menos de una semana. Curiosamente, el equipo de seguridad de Google es el respaldo que permitiría a los investigadores hacer vulnerabilidades graves pública una semana después de notificar a una empresa. Google dice que una línea de tiempo de una semana divulgación es apropiada para vulnerabilidades críticasque están bajo explotación activa, y que su recomendación permanente es que las empresas deben corregir vulnerabilidades críticas en 60 días, o, si hay una posición que no es posible, deben notificar al público sobre el riesgo y ofrecer soluciones. Me parece que debemos responsabilizar a las empresas que hacen software de seguridad y hardware a un nivel superior, y esperar de ellos una respuesta mucho más oportuna. Es cierto que los productos que son ampliamente desplegados requieren pruebas más a fondo para asegurar los parches no introducen problemas adicionales. Pero en mi opinión, 30 días es más que suficiente para hacer frente a estas vulnerabilidades. Johannes Greil, jefe de SEC Consult Vulnerability Lab, dijo que las empresas de seguridad tienen que invertir más en la obtención de sus propios productos. "Nosotros sólo hicimos una prueba de choque a corto y encontramos esas vulnerabilidades críticas", dijo Greil. "No creo que es aceptable para tomar tanto tiempo ya que los usuarios no están protegidos por ese tiempo. Yo entiendo sin embargo, que las pruebas de los parches es necesario ypuede tomar más tiempo. Por lo menos no se toman años como Oracle hace a veces. "Etiquetas:, Esta entrada fue publicada el Viernes, 26 de de julio de 2013 a las 11:34 am y está guardada bajo. Puede seguir cualquier comentario a esta entrada a través de la alimentación. Ambos comentarios y pings están actualmente cerrados.
